手机失窃被“盗刷”暴露出哪些安全漏洞？

据其本人介绍，案发当日，在通过电信客服挂失后不久，他们发现手机卡居然被不法分子解除挂失，仍能使用。双方进行了激烈斗争：挂失、解挂、再挂失、再解挂……来来回回几十次。其间，这张手机卡不断接收消费和贷款的验证短信。
多位业内人士表示，虽然机主手机被盗后未及时挂失电话卡，让不法分子钻了空子，但电信企业的服务密码重置和解挂失等业务规则是否完善、是否充分考虑了机主手机丢失的可能性，值得探讨。
按照中国电信的业务规则，已挂失账户可以通过拨打客服热线、服务密码鉴权后进行解挂。利用机主挂失前的“空档”，不法分子通过机主姓名、身份证号、短信随机码重置了服务密码，掌握了通信业务办理权，多次诱导电信企业客服人员对已挂失的电话卡进行解挂。
电信专家付亮认为，用户反复解除挂失的异常举动，应及时引起电信企业包括客服人员在内的系统的警觉，适当升级安全门槛，而不是依然机械地进行常规操作。
——校验手段普遍不足，风控水平参差不齐。
目前，虽然监管部门对于支付机构开户身份的安全验证有相关规定，但部分机构执行打了折扣。
记者调查发现，不少金融平台和支付机构开立账户或绑定银行卡的流程较为简单，一些机构在授信流程中，只增加了银行短信校验或者公安网校验，就顺利放款。在此案中，不法分子通过机主的银行卡号、身份证号、姓名、银行预留手机号等信息，加上短信验证，就在美团平台上办理了贷款业务，并很快将贷款通过新开立的支付账户消费掉了。
业内专家表示，为吸引用户，部分金融平台不会在绑卡开户时增加烦琐的校验方式，而是简化开户流程。更有一些小公司，为节省成本而省略步骤，校验的完成度和可靠性难以保障。
与此同时，一些平台和机构风控水平不过硬。从网民“信息安全老骆驼”家人的遭遇来看，同样在凌晨三四点，有的支付系统风控成功识别了异常交易并进行阻断，有的则通过了不法分子的贷款申请，有的支持了不法分子数笔绑卡消费。
——个人敏感信息保护不力。
该案中，不法分子通过短信验证的方式便登录了某政务平台App，获取机主的重要信息如探囊取物一般。
业内专家表示，身份证信息和银行卡信息属于个人敏感信息，一旦遭泄露后果严重。身份验证要强化甄别“确为本人意愿”，如借助人脸识别等方式提高验证门槛。
此外，一些通信行业人士表示，一些无良手机App过度收集个人信息，也为个人信息安全埋下隐患，一旦App被侵入就会造成严重信息泄露。在公安部组织开展的“净网2019”专项行动中，被查处的违法违规采集个人信息的App就多达683款，其中不乏知名企业。